Black Friday ciberseguridad

A principios de mes me escribieron de Equipo de Investigación con la idea de que participase en un nuevo capítulo del programa sobre los fraudes de campañas económicas tan importantes como la del BlackFriday en calidad de «experto en ciberseguridad».

Es, de hecho, de los pocos programas de televisión que sigo asiduamente, así que por supuesto nos pusimos manos a la obra con el guión, con tan mala suerte que al final el programa no se acabó rodando.

Pese a ello, y ya que al menos el trabajo ya lo habíamos hecho, dejo por aquí el guión que preparamos. Un post Mortem de un proyecto que nunca verá la luz (¡Sic!):

¿Crecen las estafas online durante el Black Friday? ¿Cuánto dinero pueden suponer?

Pues según un estudio que daba a conocer Hocelot, una compañía española de tecnología, el año pasado lo tasaban en un aumento del 36% (ES), es decir, 475 millones de euros.

¿Cuánto aumentan las ventas online durante esos días?

No es casualidad que campañas como el BlackFriday/Cyber Monday, o los Prime Days de Amazon se estén celebrando como ocurre este año por octubre y noviembre.

La idea es adelantar las compras navideñas, que para buena parte del retail son las compras más importantes del año, y fomentar la compra impulsiva.

Y aquí el comercio online gana de calle. De nuevo con datos del 2019 el comercio online aumentaba en estas fechas un 60%, frente al 30% del comercio físico.

Y este año, con las restricciones de movilidad en las que estamos, dudo que vaya a ser menor.

¿Las empresas sufren intentos de fraude?

Continuamente.

Según la Asociación Española de Empresas Contra el Fraude, el 63% de las empresas reconocía el año pasado que en 2018 sufrió más intentos de fraude online que en el ejercicio anterior.

No tengo datos de este último año, pero me costaría pensar que estos números se han reducido, a tenor de la sobrecarga de trabajo que está teniendo el INCIBE y el resto de organismos estatales para concienciar y combatir esta lacra.

¿Hay más seguridad online ese día? ¿Las empresas y plataformas online se blindan más contra los fraudes?

Al menos lo intentan.

Hay que tener en cuenta que el que usurpen la identidad de nuestra compañía y engañen a nuestros usuarios con fraudes nos afecta negativamente en las arcas, y por varios motivos:

  • Impacto reputacional: Es decir, la pérdida de confianza del usuario, y por tanto la pérdida de clientes.
  • Impacto legal: Un ataque que comprometa la información que una empresa de retail tiene de sus clientes puede suponer una multa de la RGPD de varios miles o incluso millones de euros.
  • Impacto económico directo: Los fraudes suponen de forma directa pérdidas de venta y un gasto extra que deben suplir las empresas. A fin de cuentas, si tú eres víctima de una estafa y puedes demostrarlo, el banco tiene que hacerse cargo del mismo y devolverte el dinero.

¿Se aplica algún protocolo para evitar estafas y fraudes?

Sí.

Constantemente los grandes operadores (Google, Apple, Microsoft,…) coordinan esfuerzos con otras empresas de seguridad y también con los equipos de protección del resto de compañías de retail para identificar nuevas campañas de phishing (fraude online, normalmente en texto) y vishing (fraude online, normalmente mediante llamada) y bloquearlas lo antes posible, eliminando el dominio al que apuntan o identificando como spam los correos o números de teléfono que utilizan.

Además, te habrás fijado que de vez en cuando estas grandes compañías animan a los usuarios a mejorar la seguridad de sus cuentas con sistemas que te guían para, por ejemplo, mejorar la seguridad de la contraseña o aplicar un segundo factor de autenticación.

¿Cómo puede diferenciar el consumidor entre una oferta real y otra falsa?

En el caso de campañas de fraudes vía email, o redes sociales, hay tres puntos que identifican a un fraude de una oferta real:

  • El remitente: Es decir, quien te envía el correo o mensaje privado. Si fuera la empresa, el dominio sería del tipo @nombredelaempresa.com o .es. Si en vez de eso hay un @nombredelaempresa.cualquierotracosa.com o extensiones raras como puede ser .ru, probablemente sea un timo.
  • El enlace: La mayor parte de estas estafas buscan que entres en otra página web clonada de la real pero que por supuesto no es la legítima. Y para saber si en efecto es la correcta o no, de nuevo tenemos que fijarnos en la dirección, que debe ser www.nombredelacompañía.com o .es. Si es otra cosa, seguramente es un timo. Además, debemos olvidar esa idea de que si tiene candadito en la barra de direcciones, es la página legítima. Hace ya años que el candadito, que se llama SSL en el argot técnico, no implica legitimidad, sino simplemente privacidad. Lo que te dice es que desde que esa petición sale de tu ordenador hasta que llega al servidor donde está esa página web, la información es privada. Pero estarías enviando, de forma privada, eso sí, información a un cibercriminal o a la empresa legítima indiferentemente.
  • Lo que te piden: Por último, hay que aplicar el sentido común, que es lamentablemente el menos común de todos los sentidos. Si te ha tocado mágicamente un Samsung Galaxy sin haber participado en nada, pero para enviártelo tienes que poner tus datos y pagar 2 euros, seguramente sea un timo. Si un producto que normalmente vale 500 euros ahora de pronto está a 5 euros, también huele a timo.